2. 程式人生 > >淺析Juniper IPsec VPN中的traffic selector

淺析Juniper IPsec VPN中的traffic selector

阿新 發佈:2019-02-09

Juniper的IPSec VPN中的traffic selector(流量篩選器)主要用於多Proxy-ID的情況下,而且是在基於路由的VPN中才會用到。首先Proxy-ID在協商階段2的時候會被校驗,如果校驗失敗會導致第二階段IPsec VPN建立不起來。預設情況下,基於路由的IPsec的Proxy-ID是從安全策略中的源地址和目的地址提取出來的。如src.addr=192.168.1.0/24, dst.addr=192.168.2.0/24,則local proxy-id為192.168.1.0/24,remote proxy-id為192.168.2.0/24,源策略中包含的源或者目的地址為2個及以上個地址時,相應的proxy-id就會被0.0.0.0/0替代。

對於基於路由的IPsec VPN,local和remote proxy-id均為0.0.0.0/0。Proxy-ID只能有1個組合,而traffic selector卻可以有多組,以實現與其它廠家多proxy-id的VPN進行對接。

下面就以3組traffic selector的情況進行解析。

Branch1有2個網段10.10.0.0/24與10.20.0.0/24,Branch2也有2個網段:20.10.0.0/24,20.20.0.0/24,兩個辦公室通過Juniper SRX系列的防火牆配置Site-to-Site VPN打通,部署模式為main的IPsec VPN,繫結tunnel介面。如果是基於路由這種,直接配置靜態路由互相指對端網段的下一跳到tunnel介面是可以通的。這裡我們主要來驗證下traffic selector的用途,就刪除了靜態路由,配置traffic selector來實現兩邊互通。

本次demo通過配置traffic selector來實現10.10.0.0/24可以訪問20.10.0.0/24與20.20.0.0/24,以及10.20.0.0/24可以訪問20.20.0.0/24,但是10.20.0.0/24無法訪問20.10.0.0/24。


基礎網路配置如下:

#FW1介面配置
set security zones security-zone trust interfaces ge-0/0/2.0
set security zones security-zone trust interfaces ge-0/0/3.0
set security zones security-zone untrust interfaces ge-0/0/4.0
set security zones security-zone untrust interfaces st0.1
#FW1區域配置
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
set security zones security-zone untrust host-inbound-traffic system-services ike
set security zones security-zone untrust host-inbound-traffic system-services ping
#FW1路由配置

set routing-options static route 0.0.0.0/0 next-hop 80.10.1.254

#FW2介面配置
set interfaces ge-0/0/1 unit 0 family inet address 80.10.2.1/24
set interfaces ge-0/0/2 unit 0 family inet address 20.10.0.1/24
set interfaces ge-0/0/3 unit 0 family inet address 20.20.0.1/24
set interfaces st0 unit 0 family inet
#FW2區域配置
set security zones security-zone untrust host-inbound-traffic system-services ping
set security zones security-zone untrust host-inbound-traffic system-services ike
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
set security zones security-zone trust interfaces ge-0/0/2.0
set security zones security-zone trust interfaces ge-0/0/3.0
set security zones security-zone untrust interfaces ge-0/0/1.0
set security zones security-zone untrust interfaces st0.0
#FW2路由配置
set routing-options static route 0.0.0.0/0 next-hop 80.10.2.254

階段一和階段二的Proposal用的預設的Standard,2臺防火牆都有固定的靜態地址。

階段一配置如下:

FW1#show security ike 
policy p1policy {
    mode main;
    proposal-set standard;
    pre-shared-key ascii-text juniper
}
gateway fw2-gw {
    ike-policy p1policy;
    address 80.10.2.1;
    external-interface ge-0/0/4.0;
}
FW2#show security ike 
policy p1policy {
    mode main;
    proposal-set standard;
    pre-shared-key ascii-text juniper
}
gateway fw1-gw {
    ike-policy p1policy;
    address 80.10.1.1;
    external-interface ge-0/0/1.0;

}

階段二配置如下:

FW1#show security ipsec 
policy p2policy {
    proposal-set standard;
}
vpn fw2 {
    bind-interface st0.1;
    ike {                               
        gateway fw2-gw;
        ipsec-policy p2policy;
    }
    traffic-selector ts1 {
        local-ip 10.10.0.0/24;
        remote-ip 20.10.0.0/24;
    }
    traffic-selector ts2 {
        local-ip 10.10.0.0/24;
        remote-ip 20.20.0.0/24;
    }
    traffic-selector ts3 {
        local-ip 10.20.0.0/24;
        remote-ip 20.20.0.0/24;
    }
    establish-tunnels immediately;
}


FW2#show security ipsec 
policy p2policy {
    proposal-set standard;
}
vpn fw1 {
    bind-interface st0.0;
    ike {
        gateway fw1-gw;
        ipsec-policy p2policy;
    }
    traffic-selector ts1 {
        local-ip 20.10.0.0/24;
        remote-ip 10.10.0.0/24;
    }
    traffic-selector ts2 {
        local-ip 20.20.0.0/24;
        remote-ip 10.10.0.0/24;
    }
    traffic-selector ts3 {
        local-ip 20.20.0.0/24;
        remote-ip 10.20.0.0/24;
    }
    establish-tunnels immediately;
}

 然後在FW上分別開通trust->untrust以及untrust->trust的安全策略,保證2個辦公區之間安全策略是放通的。

測試階段:

1.驗證IKE的SA狀態:2端的IKE SA都是UP的。

FW1> show security ike security-associations           
Index   State  Initiator cookie  Responder cookie  Mode           Remote Address   
1787985 UP     2c37aef2870305f9  3d273cc05f9d4900  Main           80.10.2.1 

FW2> show security ike security-associations           
Index   State  Initiator cookie  Responder cookie  Mode           Remote Address   
4648322 UP     2c37aef2870305f9  3d273cc05f9d4900  Main           80.10.1.1 

2.驗證IPsec的SA狀態:2端的IPsec各建立了3個SA用來匹配3個traffic selector

FW1> show security ipsec security-associations 
  Total active tunnels: 3
  ID    Algorithm       SPI      Life:sec/kb  Mon lsys Port  Gateway   
  <268173313 ESP:3des/sha1 fc88cb86 2073/ unlim -  root 500   80.10.2.1       
  >268173313 ESP:3des/sha1 d0a32eb6 2073/ unlim -  root 500   80.10.2.1       
  <268173314 ESP:3des/sha1 31048003 2104/ unlim -  root 500   80.10.2.1       
  >268173314 ESP:3des/sha1 e0890688 2104/ unlim -  root 500   80.10.2.1       
  <268173315 ESP:3des/sha1 7fb6e9ff 2077/ unlim -  root 500   80.10.2.1       
  >268173315 ESP:3des/sha1 3888c097 2077/ unlim -  root 500   80.10.2.1 

FW2> show security ipsec security-associations  
  Total active tunnels: 3
  ID    Algorithm       SPI      Life:sec/kb  Mon lsys Port  Gateway   
  <268173313 ESP:3des/sha1 d0a32eb6 2058/ unlim -  root 500   80.10.1.1       
  >268173313 ESP:3des/sha1 fc88cb86 2058/ unlim -  root 500   80.10.1.1       
  <268173314 ESP:3des/sha1 e0890688 2089/ unlim -  root 500   80.10.1.1       
  >268173314 ESP:3des/sha1 31048003 2089/ unlim -  root 500   80.10.1.1       
  <268173315 ESP:3des/sha1 3888c097 2062/ unlim -  root 500   80.10.1.1       
  >268173315 ESP:3des/sha1 7fb6e9ff 2062/ unlim -  root 500   80.10.1.1 

3.檢查traffic selector對應的IPsec SA:一個traffic selector對應一個IPsec SA。

FW2> show security ipsec security-associations traffic-selector ts1 
  Total active tunnels: 1
  ID    Algorithm       SPI      Life:sec/kb  Mon lsys Port  Gateway   
  <268173313 ESP:3des/sha1 d0a32eb6 1968/ unlim -  root 500   80.10.1.1       
  >268173313 ESP:3des/sha1 fc88cb86 1968/ unlim -  root 500   80.10.1.1       

FW2> show security ipsec security-associations traffic-selector ts2    
  Total active tunnels: 1
  ID    Algorithm       SPI      Life:sec/kb  Mon lsys Port  Gateway   
  <268173314 ESP:3des/sha1 e0890688 1997/ unlim -  root 500   80.10.1.1       
  >268173314 ESP:3des/sha1 31048003 1997/ unlim -  root 500   80.10.1.1       

FW2> show security ipsec security-associations traffic-selector ts3    
  Total active tunnels: 1
  ID    Algorithm       SPI      Life:sec/kb  Mon lsys Port  Gateway   
  <268173315 ESP:3des/sha1 3888c097 1968/ unlim -  root 500   80.10.1.1       
  >268173315 ESP:3des/sha1 7fb6e9ff 1968/ unlim -  root 500   80.10.1.1 

4.檢查路由:發現防火牆通過traffic selector注入了對端的靜態路由,指向tunnel介面

FW1> show route protocol static 
20.10.0.0/24       *[Static/5] 01:19:18
                    > via st0.1
20.20.0.0/24       *[Static/5] 01:19:18

                    > via st0.1

FW2> show route protocol static 
10.10.0.0/24       *[Static/5] 01:19:35
                    > via st0.0
10.20.0.0/24       *[Static/5] 01:19:35
                    > via st0.0

5.連通性測試:

FW1到FW2,10.10.0.1到20.10.0.1與20.20.0.1是通的,10.20.0.1到20.20.0.1是通的,這是3個traffic selector實現的連通性;10.20.0.1到20.10.0.1不通,由於traffic selector未包含這個流量。


FW2到FW1,20.20.0.1到10.10.0.1與10.20.0.1是通的,20.10.0.1到10.10.0.1是通的,這是3個traffic selector實現的連通性;20.10.0.1到10.20.0.1不通,由於traffic selector未包含這個流量。


總結:經過上述測試,可以說明traffic selector可以實現多個proxy-id互聯的情況,同時traffic selector還可以控制不同網段的連通性。只有匹配到traffic selector的流量才可以正常通訊。

相關推薦

淺析Juniper IPsec VPNtraffic selector

Juniper的IPSec VPN中的traffic selector(流量篩選器)主要用於多Proxy-ID的情況下,而且是在基於路由的VPN中才會用到。首先Proxy-ID在協商階段2的時候會被校驗,如果校驗失敗會導致第二階段IPsec VPN建立不起來。預設情況下,基於

思科VPN——IPSec VPN 的 IKEv1 與 IKEv2

系統 main font kmp 交換 margin dead p s 禁用 IKE(Internet Key Exchange)- 互聯網密鑰交換 為了後面介紹基於IKEv2的FlexVPN,本文先介紹一下IKEv1和IKEv2區別。 在開始介紹之前,先來看看IKEv1

epoll 淺析以及 nio Selector

復雜 zed 對他 comm 內存 緩沖區 log select() com 首先介紹下epoll的基本原理,網上有很多版本,這裏選擇一個個人覺得相對清晰的講解(詳情見reference): 首先我們來定義流的概念,一個流可以是文件,socket,pipe等等可以進行I/O

Juniper SRX IPsec VPN base route CLI

ipsec firewall 建立Tunnelset security zones security-zone untrust interfaces st0.1IPSec 兩個階段Phase1:set security ike proposal to_head authentication-metho

Juniper SSG系列防火墻ScreenOS的IPsec VPN

ipsec vpn juniper screenos ssg 自己之前的手記,Route-Based Site-to-Site VPN, AutoKey IKE2端都是固定IP的BO1是分公司1,HO是總公司BO1# 定義隧道 set interface "tunnel.1" zone "

epoll淺析以及nioSelector

read blog 客戶 事件通知 -s 最終 tar 中斷 多進程 出處: https://my.oschina.net/hosee/blog/730598 首先介紹下epoll的基本原理,網上有很多版本,這裏選擇一個個人覺得相對清晰的講解(詳情見reference)

Juniper-SSG-策略模式的IPSEC-VPN

Juniper-SSG-策略模式的IPSEC-VPN之配置終結篇 itPublisher 分享於 2016-04-17 Juniper-SSG,Site to Stie的ipsec-vpn在國內應用是非常廣的,畢竟在07-10年算是國內防火牆中比較出彩又討網工喜歡的系列。所以今天再次重

juniper防火牆做ipsec vpn必須開放的埠

我們網路環境邊緣常常有防火牆,主要起到隔離網路保護內外網安全,如在邊緣網路MIP一個公網地址給內網的一個VPN裝置,此時為了安全起見需要邊緣網路有選擇性的開放埠或協議,MIP如下: 在做IPSEC VPN時如果必須要開放IKE,對應埠號UDP:500,有時為了穿透N

淺析Asp.net MVC Ajax的使用

x11 生成 table ex18 review arp javascrip tle func 在ASP.NET MVC beta中我們可以使用Ajax.BeginForm, Ajax.ActionLink來進行Ajax調用,同樣我們也可以使用一些支持Ajax 框架如jQ

如何在ASA防火墻上實現ipsec vpn

asa 防火墻 實現 psec vpn 博主QQ:819594300博客地址:http://zpf666.blog.51cto.com/有什麽疑問的朋友可以聯系博主,博主會幫你們解答,謝謝支持!本文章介紹三個部分內容:①ipsec vpn故障排查②如何在ASA防火墻上配置ipsec VPN③防

Cisco路由器配置 IPsec VPN

ipsec vpn拓撲圖實驗目的:實現R1網段:172.16.10.0/24與R2網段172.17.10.0/24通信加密。配置思路:路由通過ACL設置感興趣流配置IKE第一階段配置IKE第二階段新建MAP,並應用於接口配置:R1:配置默認路由和接口IP信息interface Loopback0 ip ad

MPLS VPNIPSec VPN對比分析

端到端 網絡 res 其它 等價 工作 異步傳輸 prot 因特網 轉:http://www.xzbu.com/8/view-7456625.htm 1 引言   互聯網的快速發展大大促進了信息資源的交流,與此同時,人們對頻繁出現的安全保密問題也愈加關註。通過傳統的方式構建

Openswan企業實戰之ipsec vpn加速ERP系統

openswan ipsec vpn 公司ERP系統是放在IDC機房,租用的別人的雲服務器,因雲服務器供應商的限制,不能直接拉電路專線,又因服務器數量不夠,remoteapp方案也放棄了,只能通過軟件VPN方案來解決問題,之前搭建了一個openvpn,使用route模式,但是用戶反饋使用效果並不理

Hillstone 基於策略 ipsec-VPN 配置

防火墻、hillstone、vpn Hillstone 基於策略 ipsec-VPN 配置 本文以web界面對hillstone 進行ipsec-vpn 配置,共有兩種方法。 1.建立隧道首先,登陸hillstone防火墻,點選左側ipsec-vpn,然後點新建;然後在彈出的界面進

IPsec VPN詳解--驗證配置

ipsec vpn五.常用故障調試命令[H3C]disike sa<H3C>debugging ipsec sa<H3C>debugging ike sa<H3C>terminal debugging<H3C>terminal monitor<H3C&g

IPsec VPN詳解--靜態地址

vpn一. 靜態地址設置VPN1. 組網需求如 圖1-2所示,在Router A和Router B之間建立一個安全隧道,對Host A所在的子網(10.1.1.0/24)與Host B所在的子網(10.1.2.0/24)之間的數據流進行安全保護。安全協議采用 ESP 協議,加密算法采用DES,認證算法采用S

IPsec VPN/手機端設置方法

ipsec 手機設置許多類型的設備可以使用IPsec連接到pfSense,最引人註目的是Android(手機和平板電腦)和iOS(iPhone,iPad,iPod Touch等)設備。本文檔涵蓋了移動設備最常用的設置,包括IPsec使用認證和相互預共享密鑰。本文的設置基於pfsense2.34,已經過測試並在

【java】淺析java組件的布局管理器

rri als .sh 技術 size box 靜態 方向 添加多個 這篇博文筆者介紹一下java組件中,常用的布局管理器。java組件中的布局方式有好幾十種,所有的這些布局管理器都實現了java.awt.LayoutManager接口。接下來筆者介紹一下常用的5種布局管理

淺析如何在Nancy生成API文檔

2.x span build inter 修改 ace 目前 前端開發 strac 原文:淺析如何在Nancy中生成API文檔前言 前後端分離,或許是現如今最為流行開發方式,包括UWP、Android和IOS這樣的手機客戶端都是需要調用後臺的API來進行數據的交互。 但

淺析vue項目的觀察者模式

軟件 cto 淺析 fault 並且 應該 removes multipl 訂閱者 一、什麽是觀察者模式   定義     “觀察者模式是軟件設計模式的一種。在此種模式中,一個目標對象管理所有相依於它的觀察者對象,並且在它本身的狀態改變時主動發出通知。這通常透過呼叫各觀察者